Linux内存取证之网络信息取证（Volatility 取证）

1. Linux Bash history 分析：
   1. 对抗Bash history分析的方法：
      1. HISTFILE变量在 ~./bashrc 中
      2. Unsetting the HISTFILE environment variable （命令：unset HISTORY）或者将变量指向 /dev/null
      3. 设置 HISTSIZE变量=0
      4. 利用SSH 登陆时 加上-T参数
   2. Linux Bash 分析：
      1. Volatility Linux_bash 插件 ，查看历史记录
      2. Volatility linux_bash_hash 插件，检查可执行二进制文件是否被替换
      3. Volatility linux_bash_env 插件，作用同上
2. Linux Network
   1. 检查网络连接：Volatility Linux_netstat
   2. 检查内核队列数据包：内核队列数据包会一直发送或者接收通过网络直到服务端或者客户端处理它们，因此当服务端网络拥堵或者客户端尝试上传大文件时，会有潜在的数据存储在队列中，可以用linux_pkt_queue插件进行恢复。
   3. 例子：python vol.py --profile=LinuxDebian-3_2x64 -f debian.lime     linux_pkt_queues -D output
      1. -D 代表生成文件的路径目录
      2. 命令生成的文件命名格式为：The filename is created as ..
      3. 查看上述生成的文件：xxd -a output/receive.1851.5
3. Linux Network Interfaces
   1. Volatility linux_ifconfig插件
   2. Ifconfig 只能告诉你那个网卡处于混杂模式，但是不能告诉你哪个程序在用这个网卡，因此要利用linux_list_raw 插件查看那个程序在利用raw sockets
4. Linux the Route Cache
   1. Volatility linux_route_cache插件
   2. 上面加上-R参数，可以显示访问网址的域名（慎用 –R参数，会向DNS服务器请求一次，有可能连接到黑客控制的DNS服务器，影响判断结果。）
5. Linux ARP Cache
   1. Volatility linux_arp 插件
   2. 利用https://www.macvendorlookup.com/  或者利用 https://www.wireshark.org/tools/oui-lookup.html查询MAC地址的定位等信息